Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 68
ストーリー by headless
提案 部門より
提案 部門より
Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿、
The Registerの記事、
Softpediaの記事、
Ars Technicaの記事)。
チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。
提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。
提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。
チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。
提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。
提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。
最大の問題は多くの人間が証明書をまったく理解していない事 (スコア:4, すばらしい洞察)
俺を含めて
Re: (スコア:1)
証明書ベースのシステムを突破することを考えたら(試行したら)理解できるよ
後学のために記す
Re: (スコア:0)
> 証明書ベースのシステムを突破することを考えたら(試行したら)理解できるよ
今の世の中だとこの発言は危険かも
> 後学のために記す
これがあるから大分安全確保されているけれど
「自前のローカルシステムで」とか入れておかないと
難癖の教唆で捜査対象にされかねない
最悪は共謀罪主犯の未来
# 防犯ノルマ主義の恐怖
Re: (スコア:0)
単にサーバ証明書いじってるだけだと理解が進まないけど
加えてクライアント証明書認証も併用をはじめるとかなり理解が進むよ
もうGoogleが (スコア:1)
証明書発行業務もやればいいのに。
Re: (スコア:0)
Google Trust Services [pki.goog]で自社(グループ)向けには始めてるな
Re: (スコア:0)
Google Internet Authority G2 [google.com]も自社向けで以前から
実際問題 (スコア:1)
専門家「本当に無効化しやがった、これは世界中で大混乱にになる・・・」
一般人「何か変な警告出たけどこういうのは無視して進めばいいんだよな、え?間違ってないよね?」
webサイト「chormeで証明書の警告が出た場合は以下の手順で無視して進めてください」
なべてこの世は事もなし。
Symantecの反論 (スコア:1)
Symantec Backs Its CA
https://www.symantec.com/connect/ja/blogs/symantec-backs-its-ca-0 [symantec.com]
私たちはGoogle社がChromeブラウザにおいてSymantec SSL/TLSサーバ証明書をターゲットとして行なうアクションに強く反論します。この行為は想定外のものであり、かつブログに書かれた内容は無責任なものであると考えます。私たちは、この行為がSSL/TLSサーバ証明書に対するインターネットコミュニティの不確かな状況や不信感を生じさせるために行われたものではないことを願います。
私たちの証明書発行業務ならびに過去の不適切な発行の影響範囲に関するGoogle社のステートメントは誇張されており、誤解を助長するものです。例えば私たちが3万枚の証明書を不適切に発行したとするGoogle社の主張は正しくありません。Google社が言及する事象において、3万枚ではなく、127枚の証明書が不適切に発行されましたが、これによる被害は消費者には及んでいません。私たちはこれらの状況を改善するために大規模な改善策を執り行い、問題に関わったパートナーに対してRegistration Authority(RA)としての指定を即刻解除し、またSymantecのSSL/TLSサーバ証明書の信頼を強化するためにRAプログラムの終了を発表しています。この管理の強化は非常に重要なものであり、他のパブリック認証局が未だ追従できていないものです。
全ての大手認証局がSSL/TLSサーバ証明書の不適切な発行という事態を経験している中、Google社はブログの中でいくつかの認証局における問題の存在を指摘しつつ、Symantecの認証局のみをその提案の対象としています。
(文章の残りは皆さんでどうぞ)
提案: 社名変更 (スコア:0)
「シマンテック」→「すまんこって」
# かなり既出っぽい
# 英語表記ならアナグラムでいけそうだ
Re:提案: 社名変更 (スコア:5, おもしろおかしい)
「投稿されたコメントには不適切な単語が含まれています」
Re: (スコア:0)
「マンテ」はまだセーフだと思っていましたっ! すまんk…すみません!!
# そこではない
Re:提案: 社名変更 (スコア:1)
「アナ」がNGワードですか。なんて窮屈なきまりごとなんだろ。
// たぶんそれも違う。
Re: (スコア:0)
いけ
Re: (スコア:0)
ック
所詮 (スコア:0)
最大手は不正を働いてもBANされない、と。
Re: (スコア:0)
Symantecの証明書は結構なお値段なのに手抜きのボッタだったと。
Re: (スコア:0)
一番の問題はここ数年でSSL導入した中小企業のサイトは見れなくなるだろうな
Re:所詮 (スコア:4, すばらしい洞察)
それは、その中小企業がSymantecに損害賠償請求や返品交渉して、別の会社から証明書買うべき話。
信頼できない証明書なんて害しかないんだから、いきなり無効にしてもいいよ。
Re: (スコア:0)
現実的に
・シマンテックの唾が付いていない
・日本国内の法人で購入手続きできる
・数多くのブラウザに実装されているルート証明書である
EV証明書発行機関というと何処があるかな?
サイバートラストとグローバルサインとセコムトラストくらい?
Re: (スコア:0)
個人情報たっぷりお漏らししても「業務に支障が出る」という理由でプライバシーマーク剥奪のお目こぼしされた大日本印刷を思い出しますね
またかよ (スコア:0)
去年はWoSignでやられて、RapidSSLの有効期限3年の証明書に乗り換えた途端にこれかよ。
# 次の乗り換え先の質問禁止
Re: (スコア:0)
俺俺証明書なら実質的に有効期限は無限です
真面目に返事するのも馬鹿らしいが (スコア:0)
ブラウザで警告出るじゃん。
Re: (スコア:0)
よし、オレオレCAをインストールして貰おう!
Re: (スコア:0)
そこはシマンテックのセキュリティーソフトのインストーラーでゴニョゴニョ。
洒落に成らんな。。
Re: (スコア:0)
EVでないならLetsencryptでええやん
期間短いけど無料且つ自動で更新できんだし
# 商用で無料がーとかは説得頑張るのを仕事と見做すか否かで
Re: (スコア:0)
こんなの [srad.jp]が普通に居て、挙げ句プラスモデされてるような世の中だとEV SSLなんて必要ないのかもしれない、と思い始めた。
Re: (スコア:0)
アドレスバーが緑になる意味が分かってるやつが果たして何人いるんだろうね
Re: (スコア:0)
(自分以外が作った)中間者攻撃用の証明書を入れるリスクを理解してる奴よりは多い気もするが
# そのうちEV SSLじゃないとブラウザが警告出すようになったりするんだろうか
Re:またかよ (スコア:2, すばらしい洞察)
今回の件は証明機関そのものの信用に関わる話なので、
今後は証明機関の格付けを行なう方向に行くんではないかと。
過去10年間に大きなトラブルをやらかしたところは赤色の錠で、
大きくなくてもそれなりのトラブルをやったところは黄色の錠で、
何もトラブルを起こしていないところは緑色の錠で、
それぞれ表示されるとかになるんでは。
Re:またかよ (スコア:4, おもしろおかしい)
『格付け団体に寄付をすることで緑色の錠にすることが可能です』
『お振り込み先はこちら』
Re: (スコア:0)
無事故無違反でもゴールドになれないなんてなんと厳しい…
# 昨日免許更新に行ってきたAC
ぜひOS側にも。 (スコア:0)
腐ったアプリ、誰が署名してるかな。
もちろん、タイムスタンプサーバのことじゃないよ。
Re: (スコア:0)
ソフトの署名って作った人を保証してるだけで
品質なんて保証してないと思うのだが。
Re: (スコア:0)
腐ったアプリが持ち込まれるのは、まっとうな署名機関じゃない気がするのです。偏りを見てると。
Re: (スコア:0)
アプリは認証局に持ち込まないよ。
持ち込むのは鍵だけ。
Re: (スコア:0)
「通信糞遅いので星1つさえつけたくない」
こういう格付けですか?
# もしくはお布施出稿や手前味噌で高格付け
やっぱり (スコア:0)
セキュリティ会社はマッチポンプなんだね
やっぱり証明書はオレオレに限る (スコア:0)
認証局とかいうどこの馬の骨かもわからんようなやつが
発行した証明書を信用するとか、無理無理。
安全だと勘違いするやつが出る分httpよりもなお悪い。
Re: (スコア:0)
まぁ、オレオレルート証明書の伝送手段含めて安全が担保されるならいいんだが、
赤警告を無視する運用が常態化する使い方なら悲惨。
# イントラでは意外と多いのでマジ勘弁。
Re: (スコア:0)
> オレオレルート証明書の伝送手段含めて安全が担保されるなら
それができないなら、間違った安心感を抱かないように
平文で通信してたほうがまし。
Re: (スコア:0)
そのオレオレ認証局は十分安全?
警備員常駐?
Re: (スコア:0)
警備員ではダメですね、銃で撃たれたら一頃ですから。
適切に施錠された施設でないと。
#オレオレ認証局を立てようとして、発行するための隔離された施設で行うとCSRに記載しようとしたら
そこまでしなくていいよと言われた経験が…
Re:やっぱり証明書はオレオレに限る (スコア:1)
実際現実的なところでは、専用の小型PCにCAを建てておいて、普段は金庫にしまっておくような運用ですね。
それならやったことあります。
JVNやシマンテックのサイト (スコア:0)
Chrome57.0.2987.110 (64-bit)でみてたんだけど
JVN
https://jvn.jp/ [jvn.jp]
シマンテック
https://www.symantec.com/ [symantec.com]
がEVSSLだったはずが、社名など出ずに、「保護された通信」のみになってるのは
これ関連かな?
プライバシーマークとおなじ (スコア:0)
一体何を信頼したらいいのか
ビットコインみたいなメカニズムで、認証システムできないものかね
Re: (スコア:0)
時間かかり過ぎて使い物になんねえよ
ワイルドで行こう!安全など無い! (スコア:0)
有効な証明書が使われていたとしても、それは『偽サイトじゃない』『高い上納金を納めて運用してる』ってだけだよね。
個人的には疑問 (スコア:0)
「セキュリティ」という正義を振りかざして相手に無謬性を要求し、
弱みのある相手を声高に非難し過酷な私刑を行うというのは、ポリコレ棍棒と同じ構図。
「セキュリティ棍棒」的なものを感じる。